von Birgit Eckmüller
Ein Drittel aller IT-Sicherheitsverstöße in Unternehmen wird von den eigenen Mitarbeitern verursacht. Damit hat sich der Anteil der „hausgemachten“ Sicherheitsprobleme seit 2006 annähernd verdoppelt. Zwar gelten Hacker, die Viren und Trojaner einschleusen, immer noch als Problemquelle Nummer eins. Immer häufiger sind allerdings Mitarbeiter beteiligt, die unbewusst bösartige Programme aktivieren.
Die Sicherheitslücken entstehen vor allem, weil die technischen Lösungen nicht mit den organisatorischen ineinandergreifen: Das Zusammenspiel zwischen Mensch und Technik klappt nicht immer reibungslos. Zu diesen Ergebnissen kommt die Studie „IT-Security 2007“ der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.
Faktor Mensch
IT-Sicherheit ist keine rein technische Frage: Um einen vollständigen Schutz vor unbefugten Zugriffen oder Datenverlust zu gewährleisten, müssen technische Sicherheitsmaßnahmen und korrekte Bedienung nahtlos ineinanderfassen. Viele Unternehmen stehen vor der Herausforderung, diese menschliche Komponente des Sicherheitsproblems zu bewältigen.
Schulungen wichtig
Denn Voraussetzung dafür, dass alle Mitarbeiter sich korrekt verhalten, ist eine regelmäßige Schulung. Doch vielerorts fehlen hierfür noch die Grundlagen. Zwar geben vier von fünf Unternehmen an, ihre Mitarbeiter über Sicherheitsvorschriften zu informieren. Allerdings hat nicht einmal die Hälfte der deutschen Unternehmen ihre Sicherheitsanforderungen auch nur teilweise schriftlich festgehalten. Nur eines von fünf verfügt über eine vollständige Beschreibung der Sicherheitsmaßnahmen und -ziele.
Mobile Systeme und sensible Daten
Wie schnell sensible Daten nach außen gelangen können, zeigt sich beispielsweise in der Anzahl mobiler Systeme, die Zugriff auf das Firmennetzwerk haben. Dazu gehören unter anderem Notebooks, Handhelds und Mobiltelefone. Im Durchschnitt haben 32 Prozent der Mitarbeiter ins Netzwerk eingebundene Laptops im Einsatz.
Einen PDA verwendet immerhin noch etwa jeder zehnte Mitarbeiter. Diese Fernzugriffe auf das Unternehmensnetzwerk stellen für die Unternehmen ein hohes Sicherheitsrisiko dar. Zusätzlich zu den Gefahren, denen ohnehin jeder Rechner ausgesetzt ist, kommen bei mobilen Geräten noch die Risiken einer unzureichenden Verschlüsselung und des einfacheren unbefugten Zugangs hinzu.
Sensibilität in den Unternehmen
Zumindest ein Teil der Mitarbeiter hat ein gesteigertes Sicherheitsbewusstsein entwickelt: In 35 Prozent aller Fälle hat ein Kollege auf versuchte Hackerangriffe hingewiesen oder verdächtige Dateianhänge gemeldet. Zwei Jahre zuvor lag dieser Anteil noch bei weniger als 25 Prozent. Die Mehrheit der IT-Angriffe (55 Prozent) wird jedoch nach wie vor durch die Analyse von Server- beziehungsweise Firewall-Protokollen aufgedeckt.